GDPR, HR, ISO270001 a RACI matice v souvislostech
- Datum: 29.02.2024
- Autor: Peter Lipták
Súvislosti vyplývajúce z poznania sú úžasná pomôcka. To, že GDPR a HR (Human Resources) problematika veľmi úzko súvisia, už mnoho spoločností vie. Potrebujú však k premyslenému a synergickému prepojenie týchto dvoch oblastí aj RACI maticu? A ako sa vôbec pri spracovaní osobných údajov používa?
GDPR využitie RACI matice pre správu osobných údajov priamo nevyžaduje, ale veľmi ju klientom doporučujem a aj im ju s ich asistenciou pripravujem.
Prečo?
Každý Prevádzkovateľ (správce) osobných údajov totiž priamo zodpovedá za súlad spracovania osobných údajov s GDPR. Tú zodpovednosť musí pretaviť do interných procesov a v prípade väčších spoločností delegovať zodpovednosť na konkrétnych zamestnancov. V každom jednom momente však musí vedieť, kto a kedy za čo zodpovedá.
Ako to dosiahne? Jedným z vhodných riešení je práve RACI matice.
Ako používať RACI maticu v GDPR
Z pohľadu pravidiel pre ochranu osobných údajov sa domnievam, že najefektívnejšie je naviazať RACI na kategóriu spracovateľských operácií. Ich podmnožinou je potom (súvisiaca) kategória osobných údajov.
Musíte mať vôbec tieto (a aj iné) kategórie definované? Áno, musíte. Vyplýva to priamo z požiadaviek GDPR, najmä v článku 30.
Aký je počet písmen v RACI matici? Väčšina z nás pozná 4:
R = Responsible/Vykonáva
A = Approver/Schvaľuje
C = Consulted/Konzultuje
I = Informed/Je informován
D = Zastupuje/Deputy (dobrovolné, záleží na osobní preferenci)
Venujme sa GDPR aj z pohľadu kybernetickej bezpečnosti
Prečo tam dávam to písmeno navyše? Pretože riešim GDPR komplexnea v synergií aj s HR a aj s ISO 27001 (informačná bezpečnosť). Požiadavky majú totiž všetci rovnaké, tak prečo to ignorovať, aj keď si to klient priamo neobjednal? Okrem toho, aj HR a aj ISO27001 má za úlohu riešiť D - nahraditeľnosť. Ak to však HR a IT oddelenia nemajú doteraz ošetrené, tak je to veľká chyba. Takto majú urobený aspoň prvý krok.
Počet spracovateľských operácii sa líši firma od firmy. Korporáty ich majú niekoľko stoviek. Takže keď si potom vynásobíte 5 x niekoľko sto spracovateľských operácii, tak Vám vyjde celkom slušná požiadavka na čas a na konci veľká zbierka písmeniek. Ide ale o jedno rázovú aktivitu. Potom sa už iba sem-tam vyladí, ak vôbec.
Efektívne riadenie náboru ľudských zdrojov
Príklad použitia RACI pri delegovaní v náborovom procese (jednej zo spracovateľských operácií):
R – Recruiter
A – Team Leader
C – HR manager
I – Plant manager
D – HR manager
Ten reťazec krokov môže ale byť rôzny v každej spoločnosti.
Raci matica vás pomôže ochrániť pred pokutou
Ako som spomínal, RACI nie je z pohľadu GDPR povinná, z pohľadu HR a ISO 27001 však určite áno. Okrem toho to je pre autoritu (napr. Úrad na ochranu osobných údajov), prípadne pre audítora vyslaného vašim strategickým odberateľom, jasným indikátorom vašej silnej pozornosti venovanej tejto oblasti.
K slovu prichádza RACI hlavne pri „zlom počasí“, teda napr. pri bezpečnostných incidentoch, alebo pri potrebe zastupovania z dôvodov fluktuácie, ochorenia, úmrtia a pod.
Preto je fajn mať v procesoch jasno aj formálne, a nie len zo zvyku.
